оператор внешних секретов: InvalidProviderConfig

Question

оператор внешних секретов: InvalidProviderConfig

Резюме My SecreteStore и ServiceAccount находятся в одном пространстве имен

ServiceAccount имеет доверительные отношения с AWS SecretsManager.

Но в ArgoCD я вижу, что myapp (cronjob) деградирует

Сообщение об ошибке:

       Normal   Valid                  18m (x9 over 53m)     secret-store  store validated
 Warning  InvalidProviderConfig  3m2s (x41 over 159m)  secret-store  unable to create session: ServiceAccount "myapp-service-account" not found

Советы, подсказки с благодарностью

Подробности kubectl describe secretstore myapp -n devпоказывает следующее:

      Name:         eng-info-secret-store
Namespace:    dev
Labels:       <none>
Annotations:  <none>
API Version:  external-secrets.io/v1beta1
Kind:         SecretStore
Metadata:
  Creation Timestamp:  2022-09-19T22:58:30Z
  Generation:          1
  Managed Fields:
    API Version:  external-secrets.io/v1beta1
    Fields Type:  FieldsV1
   ...
Spec:
  Provider:
    Aws:
      Auth:
        Jwt:
          Service Account Ref:
            Name:  myapp-service-account
      Region:      us-east-1
      Service:     SecretsManager
Status:
  Conditions:
    Last Transition Time:  2022-09-20T01:23:43Z
    Message:               unable to create client
    Reason:                InvalidProviderConfig
    Status:                False
    Type:                  Ready
Events:
  Type     Reason                 Age                   From          Message
  ----     ------                 ----                  ----          -------
  Normal   Valid                  18m (x9 over 53m)     secret-store  store validated
  Warning  InvalidProviderConfig  3m2s (x41 over 159m)  secret-store  unable to create session: ServiceAccount "myapp-service-account" not found

Однако учетная запись службы существует в том же пространстве имен:kubectl get ServiceAccount myapp-service-account -o yaml -n dev

      apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    eks.amazonaws.com/role-arn: arn:aws:iam::11xxxxx:role/ExternalSecretsxxxxx700000003
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{"eks.amazonaws.com/role-arn":"arn:aws:iam::11xxxxx:role/ExternalSecretsxxxxx700000003"},"labels":{"argocd.argoproj.io/instance":"myapp"},"name":"myapp-service-account","namespace":"dev"}}
  creationTimestamp: "2022-09-20T01:35:42Z"
  labels:
    argocd.argoproj.io/instance: myapp
  name: myapp-service-account
  namespace: dev
  resourceVersion: "6737470"
  uid: abd794bb-d236-40b6-94bf-7e5dea2f91c1
secrets:
- name: myapp-service-account-token-v4bxg

ServiceAccount имеет соответствующие доверительные отношения с диспетчером секретов AWS.

2

amazon-web-services amazon-eks external-secrets-operator

Источник

user5082504 20 сен '22 в 02:06

0 ответов

Другие вопросы по тегам amazon-web-services amazon-eks external-secrets-operator